Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Netzwerkteilnehmer richtig blockieren / einspuren

    Scheduled Pinned Locked Moved
    Deutsch
    3
    6
    266
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • jathagrimonJ
      jathagrimon
      last edited by

      Hallo zusammen

      Ich betreibe eine pfSense (aktueller Stand) und nutze mehrere bis zu 4 VLANs in Verbindung mit managed Switches.

      Es soll gewährleistet sein, dass ein User (Gerät) sich ausschliesslich in dem "richtigen" Netz befinden kann.
      Auch soll es verhindert werden dass ein solcher User einfach durch anschliessen eines LAN-Kabels an einem Switch das Netzwerk wechseln kann.

      Bisher war ich von einem MAC-Filter als Lösung ausgegangen. Das scheint mir doch aber sehr unsicher, da man die MAC ja auch ändern könnte oder ein neues Gerät wäre vom Filter nicht berücksichtigt.

      Demnach sehe ich hier eigentlich nur die Lösung einer MAC-WhiteList, was sehr zum Leidwesen von spontanen Besuchern mit Wunsch nach WLAN ist.

      Frage 1: Wo und wie könnte ich das mit moderatem Aufwand realisieren?

      Frage 2: Seht ihr eine bessere Lösung mit ebenso moderatem Aufwand und mehr Vorteilen?

      PS: Es laufen auch Pakete wie pfBlockerNG, RadiusServer, HAProxy, OpenVpn, usw. auf dieser Instanz

      Vielen Dank für Eure Hilfe

      the otherT 1 Reply Last reply Reply Quote 0
      • the otherT
        the other @jathagrimon
        last edited by

        @jathagrimon said in Netzwerkteilnehmer richtig blockieren / einspuren:

        PS: Es laufen auch Pakete wie pfBlockerNG, RadiusServer, HAProxy, OpenVpn, usw. auf dieser Instanz

        Moinsen,
        wenn das läuft, dann lass es doch FreeRADIUS regeln, dass da keiner in fremden VLANs rumturnt.
        Ggf. können die switche das auch? Schau mal:
        https://en.wikipedia.org/wiki/RADIUS
        https://www.security-insider.de/wie-funktioniert-radius-a-613266/

        Wenn das Paket also eh läuft, dann lass alles gegen die im FreeRADIUS Server hinterlegten Angaben prüfen, bei der Authentifizierung wird dann ins vorgegebene VLAN einsortiert.

        the other

        pure amateur home user, no business or professional background
        please excuse poor english skills and typpoz :)

        jathagrimonJ 1 Reply Last reply Reply Quote 0
        • jathagrimonJ
          jathagrimon @the other
          last edited by

          @the-other
          Danke für die rasche Rückmeldung.

          Muss bei Verwendung eines Radius dann jeder User im Netzwerk einen Login vornehmen?
          Das wäre irgendwie ein K.O.-Kriterium. Wer will sich schon extra anmelden wenn er ins Internet will.

          Ich habe einen Mix aus Windows-Geräten, Android-Smartphones und MultimediGeräten wie TVs oder Sonos-Speaker. Es wird keine Windows-Domäne benutzt aber mehrheitlich fixe IPs.

          Sollte das über die MAC-Filter im FreeRADIUS laufen?
          Gibt es irgendwo ein HowTo oder nach welchen Schlagworten sollte ich suchen?

          freundliche Grüsse

          the otherT 1 Reply Last reply Reply Quote 0
          • the otherT
            the other @jathagrimon
            last edited by the other

            @jathagrimon
            Im deutschsprachigen Raum empfehle ich mal so administrator.de für die Profiadmins, für den Heimgebrauch eher forum.heimnetz.de...da gibt es viele gute Tutorials. ZB:
            https://administrator.de/t/sicherheit/?search=freeradius&filter=tutorials

            Du kannst zB so einfachen IoT Geräten die Auth per MAC einrichten (was jetzt nicht so der Brüller ist, da kommst du ja her). Andere können sich auch per Zertifikat anmelden...
            Lies dich einfach mal durch. :)

            Wenn das alles zu komplex sein sollte: alle switche in kleine abschließbare Netzwerkschränke (10 Zoll) und gut ist. Dazu den Trunk zwischen den switches so einrichten, dass hier keiner rankommt. Wäre die einfache Lösung ohne komplexes Radius Getue...kommt aber eben immer auf deine Bedürfnisse an bzgl. Sicherheit vs Bequemlichkeit. ;)

            the other

            pure amateur home user, no business or professional background
            please excuse poor english skills and typpoz :)

            1 Reply Last reply Reply Quote 1
            • Dobby_D
              Dobby_
              last edited by

              @jathagrimon

              Ich betreibe eine pfSense (aktueller Stand) und nutze mehrere bis zu 4 VLANs in Verbindung mit managed Switches.

              Was für Funktionen sind denn an den Switchen vorhanden?

              • Radius Auth. für mehrere Benutzer per Port?
              • VLAN per Port?
              • Layer3?

              Es soll gewährleistet sein, dass ein User (Gerät) sich ausschliesslich in
              dem "richtigen" Netz befinden kann.

              Das kann man mittels RadiusServer und Zertifikaten machen, im Zertifikat steht dann auch das VLAN eingetragen, egal womit und worüber sich das Gerät
              verbindet es landet dann immer in dem VLAN was in dem Zertifikat eingetragen wurde.

              Wehrmutstropfen, wenn man ein Gerät hat was in einem anderen VLAN
              vorhanden ist und "man" wartet darauf dass es sich angemeldet hat und
              man stöpselt man ein anderes Gerät ein, so ist das dann eben wieder in
              einem anderen VLAN vorhanden. (Ein Switch mit VLAN per Port kann das verhindern)

              Und wenn es sich um ein WLAN Gerät handelt oder aber das Gerät auch
              WLAN fähig ist, wie zum Beispiel ein Laptop mit WLAN, dann kann man
              sich auch am WLAN AP anmelden und umgeht wieder VLAN-Zwang
              (Ein Switch mehrfach Radius Auth. per Switchport kann das verhindern)

              Auch soll es verhindert werden dass ein solcher User einfach durch anschliessen eines LAN-Kabels an einem Switch das Netzwerk wechseln kann.

              RaspBerry PI 4/5 mit 4/8 GB

              • LDAP Server
              • Radius Server mit Zertifikaten
              • Layer 3 Switch mit VLANs, mehrfach Radius Auth. und VLAN per Port

              Damit ist das alles dann kein Problem mehr, der Radius Server ist für die
              WLAN Geräte zuständig und der LDAP Server ist für die Kabel gebundenen
              Geräte zuständig. Man kann das auch alles mit dem Radius Server machen
              nur wenn dann noch Zertifikate und Verschlüsselung mit ins Spiel kommen
              haut Dir das auch wieder einen ordentlichen "Schlag" auf´s Kabel! Also
              will sagen, der Switch sollte dann schon etwas kräftiger sein.

              Bisher war ich von einem MAC-Filter als Lösung ausgegangen. Das scheint mir doch aber sehr unsicher, da man die MAC ja auch ändern könnte oder ein neues Gerät wäre vom Filter nicht berücksichtigt.

              Wenn es um Deine oder generell um Kinder gehen sollte, würde ich den
              MAC Filter wenn überhaupt zusätzlich mit ins Spiel bringen wollen aber
              nicht alleine!

              Demnach sehe ich hier eigentlich nur die Lösung einer MAC-WhiteList, was sehr zum Leidwesen von spontanen Besuchern mit Wunsch nach WLAN ist.

              Die spontanen Besucher können dann aber in ein Gäaste WLAN oder
              VLAN reingepackt werden.

              Frage 1: Wo und wie könnte ich das mit moderatem Aufwand realisieren?

              Ein RaspBerry PI ist nicht soooo teuer und mit OpenLDAP und DaloRadius
              ist das jetzt auch nichts mehr was etwas kostet oder keine Dokumentation
              vorhanden ist.

              Frage 2: Seht ihr eine bessere Lösung mit ebenso moderatem Aufwand und mehr Vorteilen?

              Besser als mit dem Radius Server mit Zertifikaten und dem LDAP Server
              zusammen mit einem Layer3 Switch fällt mir da auch nicht ein. Das ist
              das Sicherheitsniveau von kleinen und mittleren Betrieben.

              PS: Es laufen auch Pakete wie pfBlockerNG, RadiusServer, HAProxy, OpenVpn, usw. auf dieser Instanz

              Ok sollte doch dann kein Problem sein, ein RaspBerry PI "nur" mit OpenLDAP
              Server sollte für 30 € bis 50 € zu haben sein. (eBay) Und ein Layer 3 Switch
              muss jetzt nicht ein 5000 € Geräte sein, nur die oben genannten Merkmale
              sollte schon mit bringen.

              P.S. Alle Switchports die nicht genutzt werden sollten einfach abgemeldet
              werden, also deaktiviert werden!

              #~. @Dobby

              Turris Omnia - 4 Ports - 2 GB RAM / TurrisOS 7 Release (Btrfs)
              PC Engines APU4D4 - 4 Ports - 4 GB RAM / pfSense CE 2.7.2 Release (ZFS)
              PC Engines APU6B4 - 4 Ports - 4 GB RAM / pfSense+ (Plus) 24.03_1 Release (ZFS)

              jathagrimonJ 1 Reply Last reply Reply Quote 0
              • jathagrimonJ
                jathagrimon @Dobby_
                last edited by jathagrimon

                @Dobby_

                • Danke für die Ausführung und die tollen Ideen. Das ist mir aber mitunter zuviel des Guten (wobei ein Pi sicher noch rumliegt).
                  Aber wie gesagt will ich es eher einfach halten und nicht Technik-Stapelei ;-)

                @the-other

                • Switches abschliessen ist leider auch nicht möglich.

                • Als Switches habe ich "leider" die Netgear Modelle GS108Ev3, GS108Ev2, GS308E, GS105v3
                  (die ersten 3 sind managed und der letzte unmanaged)
                  Bei denen habe ich die Ports (802.1Q) je nach Nutzung mit tagged oder auch untagged und 1 oder mehreren VLANS gemappt (Wenn halt am SwitchPort 2 ein AP angeschlossen ist braucht der AP ja alle Pakete um mehrere WLAN-SSIDs bereitstellen zu können.

                Was wäre denn mit statischen ARP Einträgen?
                Da habe ich folgendes gelesen:
                "Kann verwendet werden, um einzuschränken, wer mit pfsense kommunizieren kann, indem nur die Kommunikation mit IPs zugelassen wird, die über statische ARP-Einträge verfügen.
                Nachteile wären, dass die IP an diese Mac gebunden ist – ein anderes Gerät könnte diese IP nicht verwenden oder dieses Gerät könnte keine andere IP verwenden."

                PS: Ich verstehe nicht weshalb manche Geräte keinen Hostnamen liefern. Hat nicht jedes Gerät einen Namen?

                Wünsche einen schönen Abend.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post